当前位置: 技术问答>linux和unix
服务器怀疑被攻破,请Linux高手来帮我看一下进程列表。有个zbind进程和很多sambal进程。
来源: 互联网 发布时间:2015-12-02
本文导语: USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 1 0.0 0.0 1368 80 ? S Jun23 0:06 init root 2 0.0 0.0 0 0 ? SW J...
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 1368 80 ? S Jun23 0:06 init
root 2 0.0 0.0 0 0 ? SW Jun23 0:00 [migration/0]
root 3 0.0 0.0 0 0 ? SW Jun23 0:00 [migration/1]
root 4 0.0 0.0 0 0 ? SW Jun23 0:00 [keventd]
root 5 0.0 0.0 0 0 ? SWN Jun23 0:02 [ksoftirqd_CPU0]
root 6 0.0 0.0 0 0 ? SWN Jun23 0:00 [ksoftirqd_CPU1]
root 11 0.0 0.0 0 0 ? SW Jun23 0:03 [bdflush]
root 7 0.2 0.0 0 0 ? SW Jun23 4:01 [kswapd]
root 8 0.0 0.0 0 0 ? SW Jun23 0:01 [kscand/DMA]
root 9 0.1 0.0 0 0 ? SW Jun23 3:28 [kscand/Normal]
root 10 0.0 0.0 0 0 ? SW Jun23 0:57 [kscand/HighMem]
root 12 0.0 0.0 0 0 ? SW Jun23 0:05 [kupdated]
root 13 0.0 0.0 0 0 ? SW Jun23 0:00 [mdrecoveryd]
root 17 0.1 0.0 0 0 ? SW Jun23 3:38 [kjournald]
root 75 0.0 0.0 0 0 ? SW Jun23 0:00 [khubd]
root 2258 0.0 0.0 0 0 ? SW Jun23 0:00 [kjournald]
root 2711 0.4 0.0 1440 156 ? S Jun23 7:44 syslogd -m 0
root 2715 0.0 0.0 1368 64 ? S Jun23 0:00 klogd -x
root 2725 0.0 0.0 2028 4 ? S Jun23 0:00 xinetd -stayalive -reuse -pidfile /var/run/xinetd.pid
root 2744 0.0 0.0 5912 544 ? S Jun23 0:03 [sendmail]
smmsp 2753 0.0 0.0 5716 28 ? S Jun23 0:00 [sendmail]
root 2763 0.0 0.0 1408 4 ? S Jun23 0:01 gpm -t imps2 -m /dev/mouse
root 2777 0.0 0.0 6856 4 ? S Jun23 0:00 perl /usr/local/resin-3.0.19/bin/wrapper.pl -chdir -name httpd -class com.cauch
root 2781 0.1 0.8 336672 8280 ? S Jun23 2:09 /usr/java/jdk1.5.0_06/bin/java -Xss1m -Dresin.home=/usr/local/resin-3.0.19 -Dse
root 2787 0.0 0.0 1420 132 ? S Jun23 0:00 crond
root 2794 0.0 0.0 3508 308 ? S Jun23 0:01 /usr/sbin/sshd
nobody 2797 0.0 0.0 1932 96 ? S Jun23 0:00 [in.proftpd]
root 2801 0.3 0.0 7052 304 ? S Jun23 6:37 /usr/local/httpd/bin/httpd
root 2894 0.0 0.0 4156 4 ? S Jun23 0:00 /bin/sh /usr/bin/safe_mysqld --defaults-file=/etc/my.cnf
root 2913 0.0 0.0 1348 4 tty1 S Jun23 0:00 /sbin/mingetty tty1
root 2914 0.0 0.0 1348 4 tty2 S Jun23 0:00 /sbin/mingetty tty2
root 2915 0.0 0.0 1348 4 tty3 S Jun23 0:00 /sbin/mingetty tty3
root 2916 0.0 0.0 1348 4 tty4 S Jun23 0:00 /sbin/mingetty tty4
root 2917 0.0 0.0 1348 4 tty5 S Jun23 0:00 /sbin/mingetty tty5
root 2918 0.0 0.0 1352 4 tty6 S Jun23 0:00 /sbin/mingetty tty6
mysql 2962 18.1 1.5 48456 15628 ? S Jun23 337:37 [mysqld]
nobody 16765 0.0 0.0 1444 4 ? S Jun23 0:00 ./zbind
nobody 26129 0.0 0.0 2148 4 ttyp0 S 01:54 0:00 sh -i
nobody 414 0.0 0.0 7528 384 ? S 15:22 0:00 [httpd]
nobody 424 0.0 0.0 4136 128 ? S 15:22 0:00 sh -c ./sambal -d 0 -C 60 -S 192.168.0 1> /tmp/phpshell9xY6xV 2>&1; cat /tmp/ph
nobody 425 0.2 0.0 1356 104 ? S 15:22 0:41 ./sambal -d 0 -C 60 -S 192.168.0
root 6499 0.0 0.1 6844 1672 ? S 18:43 0:00 /usr/sbin/sshd
root 7339 0.0 0.1 5584 1348 pts/0 S 18:43 0:00 -bash
nobody 3244 0.0 0.0 0 0 ? Z 19:06 0:00 [httpd ]
nobody 4305 0.0 0.1 7232 1624 ? S 19:06 0:00 [httpd]
nobody 5665 0.0 0.1 7060 1120 ? S 19:07 0:00 [httpd]
nobody 8073 0.0 0.1 7928 1640 ? S 19:08 0:00 [httpd]
nobody 11319 0.0 0.1 8228 1684 ? S 19:09 0:00 [httpd]
nobody 13886 0.1 0.4 9064 4512 ? S 19:10 0:00 [httpd]
nobody 14749 0.0 0.1 7396 1580 ? S 19:10 0:00 [httpd]
nobody 15988 0.0 0.1 7196 1640 ? S 19:11 0:00 [httpd]
nobody 16128 0.0 0.1 7188 1616 ? S 19:11 0:00 [httpd]
nobody 16221 0.0 0.1 7408 1820 ? S 19:11 0:00 [httpd]
nobody 16477 0.0 0.1 7408 1672 ? S 19:11 0:00 [httpd]
nobody 16547 0.0 0.1 7184 1588 ? S 19:11 0:00 [httpd]
nobody 16560 0.0 0.1 7188 1640 ? S 19:11 0:00 [httpd]
nobody 16898 0.0 0.1 7680 1716 ? S 19:11 0:00 [httpd]
nobody 17020 0.0 0.1 7308 1660 ? S 19:11 0:00 [httpd]
nobody 17021 0.0 0.1 7256 1620 ? S 19:11 0:00 [httpd]
nobody 17035 0.8 0.2 7656 2876 ? S 19:11 0:00 [httpd]
nobody 17161 0.1 0.1 8068 1580 ? S 19:11 0:00 [httpd]
nobody 17208 0.0 0.2 7404 2652 ? D 19:11 0:00 [httpd]
nobody 17210 0.0 0.1 7144 1592 ? S 19:11 0:00 [httpd]
nobody 17240 0.2 0.1 7156 1580 ? S 19:11 0:00 [httpd]
nobody 17248 0.0 0.1 7208 1584 ? S 19:11 0:00 [httpd]
nobody 17297 0.0 0.1 7148 1580 ? S 19:11 0:00 [httpd]
nobody 17313 0.0 0.1 7148 1596 ? S 19:11 0:00 [httpd]
nobody 17317 0.0 0.0 0 0 ? Z 19:11 0:00 [httpd ]
nobody 17318 0.0 0.1 7060 1120 ? S 19:11 0:00 [httpd]
nobody 17319 0.5 0.2 7472 2668 ? D 19:11 0:00 [httpd]
nobody 17320 0.0 0.0 7052 1028 ? S 19:11 0:00 [httpd]
root 1 0.0 0.0 1368 80 ? S Jun23 0:06 init
root 2 0.0 0.0 0 0 ? SW Jun23 0:00 [migration/0]
root 3 0.0 0.0 0 0 ? SW Jun23 0:00 [migration/1]
root 4 0.0 0.0 0 0 ? SW Jun23 0:00 [keventd]
root 5 0.0 0.0 0 0 ? SWN Jun23 0:02 [ksoftirqd_CPU0]
root 6 0.0 0.0 0 0 ? SWN Jun23 0:00 [ksoftirqd_CPU1]
root 11 0.0 0.0 0 0 ? SW Jun23 0:03 [bdflush]
root 7 0.2 0.0 0 0 ? SW Jun23 4:01 [kswapd]
root 8 0.0 0.0 0 0 ? SW Jun23 0:01 [kscand/DMA]
root 9 0.1 0.0 0 0 ? SW Jun23 3:28 [kscand/Normal]
root 10 0.0 0.0 0 0 ? SW Jun23 0:57 [kscand/HighMem]
root 12 0.0 0.0 0 0 ? SW Jun23 0:05 [kupdated]
root 13 0.0 0.0 0 0 ? SW Jun23 0:00 [mdrecoveryd]
root 17 0.1 0.0 0 0 ? SW Jun23 3:38 [kjournald]
root 75 0.0 0.0 0 0 ? SW Jun23 0:00 [khubd]
root 2258 0.0 0.0 0 0 ? SW Jun23 0:00 [kjournald]
root 2711 0.4 0.0 1440 156 ? S Jun23 7:44 syslogd -m 0
root 2715 0.0 0.0 1368 64 ? S Jun23 0:00 klogd -x
root 2725 0.0 0.0 2028 4 ? S Jun23 0:00 xinetd -stayalive -reuse -pidfile /var/run/xinetd.pid
root 2744 0.0 0.0 5912 544 ? S Jun23 0:03 [sendmail]
smmsp 2753 0.0 0.0 5716 28 ? S Jun23 0:00 [sendmail]
root 2763 0.0 0.0 1408 4 ? S Jun23 0:01 gpm -t imps2 -m /dev/mouse
root 2777 0.0 0.0 6856 4 ? S Jun23 0:00 perl /usr/local/resin-3.0.19/bin/wrapper.pl -chdir -name httpd -class com.cauch
root 2781 0.1 0.8 336672 8280 ? S Jun23 2:09 /usr/java/jdk1.5.0_06/bin/java -Xss1m -Dresin.home=/usr/local/resin-3.0.19 -Dse
root 2787 0.0 0.0 1420 132 ? S Jun23 0:00 crond
root 2794 0.0 0.0 3508 308 ? S Jun23 0:01 /usr/sbin/sshd
nobody 2797 0.0 0.0 1932 96 ? S Jun23 0:00 [in.proftpd]
root 2801 0.3 0.0 7052 304 ? S Jun23 6:37 /usr/local/httpd/bin/httpd
root 2894 0.0 0.0 4156 4 ? S Jun23 0:00 /bin/sh /usr/bin/safe_mysqld --defaults-file=/etc/my.cnf
root 2913 0.0 0.0 1348 4 tty1 S Jun23 0:00 /sbin/mingetty tty1
root 2914 0.0 0.0 1348 4 tty2 S Jun23 0:00 /sbin/mingetty tty2
root 2915 0.0 0.0 1348 4 tty3 S Jun23 0:00 /sbin/mingetty tty3
root 2916 0.0 0.0 1348 4 tty4 S Jun23 0:00 /sbin/mingetty tty4
root 2917 0.0 0.0 1348 4 tty5 S Jun23 0:00 /sbin/mingetty tty5
root 2918 0.0 0.0 1352 4 tty6 S Jun23 0:00 /sbin/mingetty tty6
mysql 2962 18.1 1.5 48456 15628 ? S Jun23 337:37 [mysqld]
nobody 16765 0.0 0.0 1444 4 ? S Jun23 0:00 ./zbind
nobody 26129 0.0 0.0 2148 4 ttyp0 S 01:54 0:00 sh -i
nobody 414 0.0 0.0 7528 384 ? S 15:22 0:00 [httpd]
nobody 424 0.0 0.0 4136 128 ? S 15:22 0:00 sh -c ./sambal -d 0 -C 60 -S 192.168.0 1> /tmp/phpshell9xY6xV 2>&1; cat /tmp/ph
nobody 425 0.2 0.0 1356 104 ? S 15:22 0:41 ./sambal -d 0 -C 60 -S 192.168.0
root 6499 0.0 0.1 6844 1672 ? S 18:43 0:00 /usr/sbin/sshd
root 7339 0.0 0.1 5584 1348 pts/0 S 18:43 0:00 -bash
nobody 3244 0.0 0.0 0 0 ? Z 19:06 0:00 [httpd ]
nobody 4305 0.0 0.1 7232 1624 ? S 19:06 0:00 [httpd]
nobody 5665 0.0 0.1 7060 1120 ? S 19:07 0:00 [httpd]
nobody 8073 0.0 0.1 7928 1640 ? S 19:08 0:00 [httpd]
nobody 11319 0.0 0.1 8228 1684 ? S 19:09 0:00 [httpd]
nobody 13886 0.1 0.4 9064 4512 ? S 19:10 0:00 [httpd]
nobody 14749 0.0 0.1 7396 1580 ? S 19:10 0:00 [httpd]
nobody 15988 0.0 0.1 7196 1640 ? S 19:11 0:00 [httpd]
nobody 16128 0.0 0.1 7188 1616 ? S 19:11 0:00 [httpd]
nobody 16221 0.0 0.1 7408 1820 ? S 19:11 0:00 [httpd]
nobody 16477 0.0 0.1 7408 1672 ? S 19:11 0:00 [httpd]
nobody 16547 0.0 0.1 7184 1588 ? S 19:11 0:00 [httpd]
nobody 16560 0.0 0.1 7188 1640 ? S 19:11 0:00 [httpd]
nobody 16898 0.0 0.1 7680 1716 ? S 19:11 0:00 [httpd]
nobody 17020 0.0 0.1 7308 1660 ? S 19:11 0:00 [httpd]
nobody 17021 0.0 0.1 7256 1620 ? S 19:11 0:00 [httpd]
nobody 17035 0.8 0.2 7656 2876 ? S 19:11 0:00 [httpd]
nobody 17161 0.1 0.1 8068 1580 ? S 19:11 0:00 [httpd]
nobody 17208 0.0 0.2 7404 2652 ? D 19:11 0:00 [httpd]
nobody 17210 0.0 0.1 7144 1592 ? S 19:11 0:00 [httpd]
nobody 17240 0.2 0.1 7156 1580 ? S 19:11 0:00 [httpd]
nobody 17248 0.0 0.1 7208 1584 ? S 19:11 0:00 [httpd]
nobody 17297 0.0 0.1 7148 1580 ? S 19:11 0:00 [httpd]
nobody 17313 0.0 0.1 7148 1596 ? S 19:11 0:00 [httpd]
nobody 17317 0.0 0.0 0 0 ? Z 19:11 0:00 [httpd ]
nobody 17318 0.0 0.1 7060 1120 ? S 19:11 0:00 [httpd]
nobody 17319 0.5 0.2 7472 2668 ? D 19:11 0:00 [httpd]
nobody 17320 0.0 0.0 7052 1028 ? S 19:11 0:00 [httpd]
|
zbind似乎是入侵者运行的程序,看这里,搜一下文章中的zbind,他也中着了:
http://blog.5ilinux.com/archives/linux/
杀掉进程,重启机器,加上防火墙,查看软件是否有漏洞,特别是你运行的那些进程。
http://blog.5ilinux.com/archives/linux/
杀掉进程,重启机器,加上防火墙,查看软件是否有漏洞,特别是你运行的那些进程。
您可能感兴趣的文章:
本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。